Amazon CloudFront 一鍵部署防禦,為您降低Web威脅
__25B12o1e7r.png "pic_1_1855 (1)")
現在,您只需按一下即可將 AWS WAF 保護新增到 Amazon CloudFront 分配部署。在本文中,我們將指導你設置和監測此新功能提供的保護以及其他安全建議。
這是一項 AWS 服務,可用於以低延遲和高傳送速率向全球客戶安全地傳遞數據、影片、應用程式和 API。CloudFront 透過暫存使用者相關內容、終止使用者的 TLS 連接以及通過 AWS 的私有主幹而不是公共網路由使用者請求,提高了靜態和動態應用程式的性能。
可公開存取的 Web 應用程式和 API 面臨威脅,例如 OWASP Top 10 中描述的常見漏洞、SQL 注入、自動請求和 HTTP 洪水式攻擊(拒絕服務 (DoS)),這些威脅可能會影響可用性、危及安全性或消耗過多資源。AWS WAF 是一種 Web 應用程式防火牆,可分析傳入的請求,並且在這些類型的威脅到達您的伺服器之前阻止它們。您可以通過配置包含要啟用的安全規則的 Web 存取控制清單 (Web ACL) 來保護 AWS WAF 的 CloudFront 分配。
CloudFront 現在可以處理新增和配置 AWS WAF Web ACL,其中包含 AWS 為所有應用程式推薦的開箱即用保護。這為您的應用程式提供了抵禦 Web 威脅的第一道防線。包含的安全保護可基於 Amazon 內部威脅情報阻止 IP 位址免受潛在威脅,防止 OWASP Top 10 中所述的 Web 應用程式中發現的最常見漏洞,並防止惡意行為者發現應用程式漏洞。您也可以選擇在 AWS WAF 控制台中配置額外的安全保護,以抵禦機器人和欺詐或特定於您的應用程式的其他威脅。
一鍵在 CloudFront 中啟用安全保護
您可以使用 AWS WAF 為新的和現有的 CloudFront 分配啟用安全保護。
- 打開Amazon CloudFront主控台。
- 選擇Create來創建部署分配,然後輸入要保護的來源。或者,為現有部署分配選擇Edit。
- 在 Web 應用程式防火牆 (WAF)部分,選擇「啟用安全保護」(Enable security protections)。
- 查看其餘分配設置,然後按兩下創建分配,或者如果您正在編輯現有部署分配,請按下保存設定。
CloudFront 建立 AWS WAF Web ACL,配置規則以保護您的伺服器免受常見 Web 威脅,並將 Web ACL 附加到 CloudFront 部署分配。您可以在建立或編輯部署分配後查看生成的 AWS WAF Web ACL。選擇連結以在 AWS WAF 控制台中打開 Web ACL。
「總覽」(Overview) 選項標籤內,顯示由 Web ACL 檢查的請求。
圖 3:查看 AWS WAF Web ACL 允許或阻止的請求
點選「規則」(Rules) 標籤,檢視由 CloudFront 安全保護自動建立的三個規則:
- AWS-AWSManagedRulesAmazonIpReputationList – 根據 Amazon 內部威脅情報阻止潛在威脅的 IP 位址。
- AWS-AWSManagedRulesCommonRuleSet – 防範 Web 應用程式中最常見的漏洞,如 OWASP Top 10 中所述。
- AWS-AWSManagedRulesKnownBadInputsRuleSet – 防止惡意行為者發現應用程式漏洞。
圖 4:為 CloudFront 分配自動建立的 Web ACL 規則
配置其他保護
AWS WAF 具有其他規則,您可以新增到 Web ACL 中,以防範其他類型的 Web 威脅,實際上要取決於應用程式的需求。
HTTP 洪水式攻擊是一種 DoS 攻擊,它用異常多的 HTTP 請求淹沒您的 Web 應用程式。通過配置基於速率的規則,您可以阻止超過五分鐘內允許的請求數的違規源IP位址。
機器人流量可能會通過囤積有限的庫存、產生欺詐性信用卡交易或增加託管成本而導致糟糕的客戶體驗。AWS WAF 機器人控制可以檢測和阻止使用複雜技術避免檢測的高級機器人流量。
結語
AWS WAF 的一鍵式安全保護現已在 CloudFront 控制台中提供,可用於配置新的或現有的 CloudFront 分配。要瞭解更多資訊,請參閱 CloudFront 開發人員指南。或是按此線上聯繫我們洽詢細節與方案,我們會盡快回覆您!
